AWS Firewall Manager が既存の AWS Network Firewall をインポートできるようになりました

いわさです。

AWS Firewall Manager では組織の様々な AWS 上のファイアウォールサービスを一元管理することが出来るサービスです。
対応しているサービスの中に AWS Network Firewall も含まれています。

これまでは Firewall Manager で Network Firewall を管理する場合は Firewall Manager 上でポリシーを定義し、各アカウントでは自動生成された Network Firewall ポリシーを使用する形のみだったので、各アカウントで個別に作成された既存の Network Firewall リソースが組織のポリシーに準拠されているかどうかを確認することが出来ませんでした。

先日の Firewall Manager のアップデートで、既存の Network Firewall ポリシーを管理対象として追加する機能が利用可能になりました。

本日はこちらをいくつかのアカウントで構成してみましたので紹介します。

AWS Firewall Manager と AWS Network Firewall について

Firewall がいくつか登場し混乱しそうですが、簡単に触れておきます。

AWS Network Firewall は AWS マネージドな IDS/IPS サービスで VPC のセキュリティレイヤーとして利用出来るサービスです。 以下で詳しく紹介されています。

AWS Firewall Manager は AWS Organizations の中で管理アカウントを定めて、管理アカウントで組織全体のアカウントのリソースを保護するための統合サービスです。
AWS WAF や VPC セキュリティグループ、上述の Network Firewall などのセキュリティレイヤーへ組織共通のポリシーを設定することができて、ポリシーに準拠していないリソースの検出を行うことも出来ます。
以下で詳しく紹介されています。

また、数ヶ月前に AWS Firewall Manager で AWS Network Firewall の AWS マネージドルールがサポートされるようになりました。

Firewall Manager で Network Firewall を管理する

既存の Network Firewall リソースを使わない場合

これまでは Firewall Manager でポリシーを作成することで、スコープアカウントの VPC をターゲットに Network Firewall リソースが自動配布される形でした。
また、その際には VPC ごとに個別に作成するか、検査用 VPC で集中管理するかを選択することが出来ました。

既存の Network Firewall リソースを管理する

ここからが新機能の部分となります。

Network Firewall リソースを作成

従来のように Firewall Manager でポリシーを作成することでスコープアカウントへ Firewall Manager によって管理される Network Firewall ポリシーが自動生成されるわけではなく、事前に組織内の任意のアカウントに Network Firewall ポリシーが作成されていることが前提で、Firewall Manager でそれらのリソースを管理下に置きつつ、非準拠リソースの特定や設定したルールなどの自動反映を行うことが出来るようになります。

というわけで、まずは Network Firewall リソースを作成しました。
この時点ではまだ Firewall Manager とは関連づいていないです。

事前にリソースセットの作成が必要

Firewall Manager で既存リソースをインポートする際には、まずは Firewall Manager のリソースセット機能を使って、対象となる Network Firewall リソースをリソースセットに含めます。

本日時点でリソースセット上でリソースタイプとして指定可能なのは Network Firewall リソースのみです。
今後 Firewall Manager で管理可能なリソースタイプがサポートされていく可能性ありそうですね。

また、リソースセットには複数のメンバーアカウントのリソースをセット化することが出来ます。

セキュリティポリシーの作成

続いて Firewall Manager でポリシーを作成します。
Firewall management type にImport Network Firewallsが追加されているので選択します。

続いて Firewall Manager として必要なポリシーを定義します。
競合しないポリシー設定であれば、個別の Network Firewall ポリシーでルールを設定しつつ、Firewall Manager 側でも共通のルールとして設定を行うことが出来ます。

あとは先程用意したリソースセットを選択します。
リソースセットは最大で 5 件まで選択で来ます。

非準拠の検出

Firewall Manager ポリシーに既存の Network Firewall リソースを管理対象として追加したところ、早速非準拠として検出されました。
検出メッセージを確認してみるとステートレスデフォルトアクションが競合しているとのこと。

確認してみると Firewall Manager ではデフォルトアクションに「パス」が指定されていますが、Network Firewall ポリシー側では「ステートフルルールグループに転送」が指定されています。

Firewall Manager で指定されているポリシーに準拠出来てないと検出されたわけですね。なるほど。

では非準拠の検出がされたので是正対応を行ってみます。
ここでは共通ルールに則って「パス」を指定してみましょう。

少し待つと対象 Network Firewall が準拠状態になったことが Firewall Manager 上で確認出来ました。

なお非準拠の検出については同一ルールでコンフリクトが生じている場合も対象のようです。
例えば Network Firewall にて以下のように ThreatSignaturesMalwareActionOrder マネージドルールを追加しつつアラートモードを無効にしておきます。

その上で Firewall Manager にて同一マネージドルールを含むがアラートモードを有効にしてみます。

そうすると、先程と同じように非準拠状態として検出されました。なるほど。

ポリシーの自動反映

先程は非準拠が自動検出されていましたが、コンフリクトが発生していなければ不足しているポリシーが自動で適用されます。
例えば以下の枠内のマネージドポリシーは Network Firewall 側ではなくて Firewall Manager 側でルールとして指定されたために自動反映されたマネージドルールです。

自動反映されたルールは Network Firewall から関連付けの解除が可能です。
ただし、解除してもすぐにまた自動反映されます。

試しに解除してみましょう。

解除されていますね。

しかし数秒後にまた自動で反映されていました。
このように Firewall Manager の管理下になるとポリシーが強制的に適用されるようになります。

当然ながら Firewall Manager 側でポリシーの変更を行うと、それらは管理下のリソースに反映されます。
ここでは以下のように追加のマネージドルールを有効化してみましょう。

そうするとすぐに管理対象の Network Firewall へ反映されました。

リソースセットにはいつでもリソースを追加・削除可能

Firewall Manager ポリシーで対象となる既存リソースはリソースセットで指定されたもののみとなります。
今回の新機能では Network Firewall リソースがそもそも存在しないメンバーアカウントなどで自動で Network Firewall が自動生成されません。

また、Firewall Manager に直接紐付いているのはリソースセットなので、リソースセットへ Network Firewall リソースを追加することで管理対象としていつでも追加することが可能です。

また、その逆でリソースセットからリソースを削除すると管理下から外れ、Firewall Manager 側で設定されたポリシーのみが対象外となった Network Firewall ポリシーから削除されます。
既存の Network Firewall リソースが削除されたりはしません。

Firewall Manager ポリシーを削除してみる

Firewall Manager の管理下となっている状態で、Firewall Manager ポリシー側を削除した場合も同じように Firewall Manager ポリシーで設定している共通ルールのみが削除され、既存リソース自体は残った状態となります。

以下枠内のマネージドポリシーは既存の Network Firewall で設定したルールです。
Firewall Manager 側で指定した共通ルールが削除されていることがわかります。

ただし、共通ルールが削除されるかどうかは Firewall Manager ポリシーの Resource Cleanup 設定に依存しています。
こちらが無効の場合は Firewall Manager ポリシーが削除されたあとも管理対象だった Network Firewall リソース側に Firewall Manager によって追加されたリソースが追加されたままでした。

さいごに

本日は AWS Firewall Manager が既存の AWS Network Firewall をインポートできるようになったということで実際に設定して確認してみました。

アップデート情報では「インポート」という表現が使われていたので特定のアカウントから取り込んだ Network Firewall ポリシーを組織アカウントへ横展開するための機能なのかなと思いましたが、そうではなくて既存 Network Firewall リソースを Firewall Manager の管理下に追加し、そのまま準拠/非準拠を検出を行って共通ルールの自動反映まで行うための機能でした。

新たに Network Firewall を組織横断で共通ポリシーで導入する場合は従来の機能を使って Firewall Manager から自動生成される方法で良さそうですが、既に導入済みのアカウント上での切り替えは不要で Firewall Manager へ管理対象として追加することが出来るようになった形ですね。